Home    Lista RSU    Guida Sindacale    Accordi Importanti    Indici Tematici    Storico    Contattaci    Iscriviti    Sindacati    Ricerca

PROPOSTA DI ACCORDO QUADRO SULLA GESTIONE DEI DATI DEI DIPENDENTI


Da: Controllo a distanza, riservatezza, protezione e trattamento dei dati personali

Vedere anche : Accesso alle sedi a aree riservate


Premessa

L'evoluzione tecnologica e organizzativa ha portato a una progressiva integrazione di strumenti e dispositivi, tale da rendere possibile lo scambio di dati fra di essi, anche in riferimento a macchine nelle quali, fino a pochi anni or sono, il trattamento dei dati era generalmente irrilevante e comunque non connesso alle reti informatiche aziendali; così come all'invenzione e alla diffusione di nuovi strumenti dotati fin dall'inizio della capacità di connettersi con le reti informatiche.
Fra questi dati, alcuni di essi - in particolare quelli riguardanti l'identità dei dipendenti, le loro caratteristiche personali, la registrazione degli atti lavorativi eseguiti, delle comunicazioni effettuate, degli strumenti utilizzati, degli spostamenti compiuti - hanno rilevanza ai fini delle tutele previste e delle norme definite dalle leggi nel seguito citate.
Per regolare l'applicazione di dette leggi per quanto riguarda i dipendenti di IBM Italia S.p.A. (di seguito: IBM Italia), l'Azienda e il Coordinamento Nazionale delle RSU IBM Italia (di seguito: Coordinamento) stipulano il seguente accordo sul trattamento dei dati personali dei dipendenti e sulla prevenzione del controllo a distanza.

  1. Scopo del presente accordo è ottemperare nell'azienda IBM Italia a quanto previsto dalla legge 300 del 1970 ("Statuto dei lavoratori") che è da intendersi qui interamente richiamata; è inoltre assunto come riferimento, sia ovviamente per rispettarne le disposizioni e gli obblighi, sia come ispirazione nelle soluzioni procedurali, il "Codice in materia di protezione dei dati personali" (legge delega n. 127/2001, di seguito indicato come "Codice"), che è qui da intendersi interamente richiamato. L'assunzione di base che regge l'impianto del presente accordo è che, relativamente ai dati riguardanti le prestazioni e i comportamenti dei lavoratori, la potenzialità di controllo a distanza, vietata dall'art. 4 della legge 300/70, in un ambiente informatico sussiste sempre, a causa della molteplicità e del dettaglio delle registrazioni dei dati, a meno che si verifichino solo ed esclusivamente le seguenti condizioni:
    • I dati in oggetto non vengono rilevati, per scelta e/o per configurazione dei dispositivi adottati;
    • I dati in oggetto vengono rilevati per finalità statistiche generali ma non sono tecnicamente riconducibili in alcun modo al singolo lavoratore (dati anonimi);
    • I dati in oggetto vengono rilevati e sono tecnicamente riconducibili al singolo lavoratore, ma i limiti e le condizioni di tale raccolta sono rigorosamente definite e inventariate, e i dati in oggetto sono sotto blocco;
    • I limiti e le condizioni della rimozione di tale blocco e dei successivi trattamenti sono rigorosamente definite e inventariate, e vengono adottate le migliori procedure organizzative e tecniche, corredate dagli opportuni controlli, affinché la potenzialità di controllo occulto cessi di sussistere.

    La terminologia adottata è quella definita dall'art. 4, Parte I, Titolo I, del Codice, a cui, ai fini del presente accordo, si aggiungono le seguenti definizioni:

    a. per "Rappresentanti dei Lavoratori per il Trattamento dei Dati Personali" (nel seguito: RLTDP) si intendono i tre membri delle Rappresentanze Sindacali Unitarie (RSU) designato dal Coordinamento a rappresentare i dipendenti di IBM Italia per quanto concerne le tutele di cui al presente accordo;

    b. con la parola inglese "log" si intende qualsiasi registrazione delle attività elaborative compiute da un'applicazione, e delle attività compiute da ogni utente dell'applicazione stessa tramite di essa, che permetta di ricostruire le operazioni svolte e il codice dell'utente che ha operato;

    c. per "cifratura a doppia chiave alla fonte" si intende l'operazione compiuta da un sistema cifrante, dotato di dispositivo di prevenzione della disattivazione o della manomissione occulte, tale per cui alcuni dati vengono cifrati (crittografati) prima di essere registrati su di una memoria permanente di un elaboratore o di un dispositivo elettronico; la chiave di decifrazione è divisa in due parti, in possesso separato di due diversi soggetti; per rimettere "in chiaro" i dati cifrati, è indispensabile l'utilizzo contemporaneo delle due parti della chiave.

  2. Le RSU prendono atto che:

    a. dato il particolare settore produttivo in cui l'azienda opera, e cioè l'elaborazione elettronica dei dati, la totalità o la quasi totalità dei dipendenti sono normalmente chiamati a svolgere compiti di Incaricati al trattamento dei dati (art. 4, Parte I, Titolo I del Codice) come parte dell'espletamento delle loro mansioni lavorative;

    b. l'azienda, in quanto Titolare del trattamento dei dati (art. 28, Parte I, Titolo IV del Codice), ha nominato i propri Responsabili di detto trattamento secondo quanto previsto dall'art. 29, Parte I, Titolo IV, del Codice;

    c. l'azienda in ottemperanza a quanto disposto dall'art. 34, Parte I, Titolo V, Capo II del Codice, ha attribuito a ciascun incaricato del trattamento dei dati personali un codice identificativo personale per l'utilizzazione dell'elaboratore;

    d. l'azienda ha reso consultabile a tutti i dipendenti un elenco di banche dati con l'indicazione del responsabile e del luogo in cui sono conservati i dati, e informazioni sui dati personali e sensibili contenuti e i trattamenti che vengono effettuati su di essi.

  3. Stante quanto precede, al fine di mantenere le tutele previste dell'art. 4, comma 2, della L. 300/70 e dal Codice, anche alla luce di quanto stabilito dalla sentenza della Pretura di Milano in data 5/12/1984, le parti concordano quanto segue:

    a. (Dichiarazione di principio) IBM conferma che intende utilizzare i dati relativi agli accessi del personale ai propri sistemi, applicazioni, programmi, dati e transazioni per motivi di sicurezza, corretta gestione degli stessi dati e informazioni, corretta gestione delle risorse informatiche e per le statistiche d'uso relative ai sistemi informatici aziendali nonché per le attività relative a modifiche tecniche / operative.
    IBM ribadisce, inoltre, che i dati rilevati non saranno in alcun caso utilizzati per controlli inerenti l'attività svolta dai dipendenti né per fini non inerenti il presente accordo.

    b. (Log) I log contenenti i codici identificativi dei dipendenti devono essere considerati a tutti gli effetti registrazioni di dati personali.

    c. (Inventario delle applicazioni) L'azienda rende consultabile a tutti i dipendenti la lista seguente aggiornata di tutte le applicazioni che gestiscono dati personali dei dipendenti; ogni voce dovrà contenere:

    • il nome dell'applicazione;
    • lo scopo dell'applicazione stessa;
    • gli ambienti informatici in cui è operativa;
    • I centri e i Paesi in cui viene eseguita (art. 5, Parte I, Titolo I del Codice);
    • il numero e la tipologia degli utenti;
    • l'elenco e la descrizione dei dati personali dei dipendenti gestiti;
    • l'elenco e la descrizione dei dati sensibili dei dipendenti gestiti;
    • l'elenco e la descrizione dei dati registrati sui log relativi alle operazioni dei dipendenti;
    • i centri e i Paesi in cui i dati e i log sono conservati, incluse le copie di salvataggio e sicurezza (backup);
    • i criteri con cui i dati e i log sono conservati nel tempo o cancellati;
    • il nome di eventuali altre applicazioni con cui questi dati sono scambiati e l'elenco dei dati personali scambiati;
    • l'eventuale attivazione di sistemi per la cifratura di dati, con l'elenco dei dati personali cifrati;
    • l'eventuale previsione di disattivazione, cambio di versione (release), migrazione ad altra applicazione sostitutiva, spostamento ad altri centri e/o Paesi o adozione di altre forme, anche parziali, di esternalizzazione;
    • informazioni particolari di cui agli articoli successivi.

    Qualora si rendesse necessario un aggiornamento intermedio, i Responsabili aziendali inviteranno gli RLTDP a un incontro in cui consegneranno loro la nuova versione delle liste di cui sopra. Ciascun RLTDP può allegare a detta lista un documento scritto di osservazioni.
    Qualora gli RLTDP, anche a seguito delle segnalazioni ricevute dai Rappresentanti Sindacali, dai dipendenti IBM Italia o da altre fonti, non ritenessero corretta o completa la lista ricevuta e, dopo aver comunicato le proprie osservazioni ai Responsabili aziendali, non ottenessero entro venti giorni lavorativi la versione corretta e completa, sono tenuti a informare il Coordinamento della situazione creatasi.
    Qualora gli RLTDP individuassero nella lista ricevuta applicazioni con specificità di trattamento dei dati che esulano dagli accordi sottoscritti o comunque tali da richiedere un esame approfondito e l'eventuale stipula di accordi particolari, sono tenuti a darne tempestiva comunicazione al Coordinamento.

    L'esistenza di tale lista deve essere notificata per iscritto nel Documento Programmatico sulla Sicurezza previsto dall'Allegato B, punto 19 del Codice.

    d. (Cifratura) La cifratura a doppia chiave alla fonte costituisce la miglior soluzione tecnica per ottemperare alle finalità del presente accordo. L'azienda verificherà, insieme con gli RLDTP ed eventualmente altri esperti indicati dal Coordinamento, modi e tempi per migliorare i sistemi di cifratura e per estenderli a tutti i sistemi informatici elencati nell'inventario di cui al punto 3c . Gli RLTDP sono i detentori di una delle due parti delle chiave di cifratura di cui al punto 1c e gli esecutori delle procedure per conto del Coordinamento.

    e. (Documenti operativi in assenza di cifratura a doppia chiave alla fonte). Per tutte le applicazioni in cui non è ancora possibile introdurre la cifratura a doppia chiave alla fonte, almeno dei dati identificativi, l'Azienda garantisce le tutele previste dall'art. 31, Parte I, Titolo V, Capo I del Codice, se possibile introducendo almeno la cifratura a doppia chiave sui dati personali registrati su memoria permanente, e in tutti i casi concordando con le RSU apposite procedure per consultare i dati personali sotto blocco. Tutte le applicazioni per le quali sono definite procedure concordate fra azienda e RSU o fra Responsabili aziendali e RLTDP devono essere presenti nella lista di cui al punto 3c con la segnalazione nelle informazioni particolari dell'esistenza del documento operativo contenente dette procedure.

    f. (Gestione dei sistemi di cifratura). Per ciascuna applicazione presente nella lista e dotata di sistema di cifratura, viene preventivamente stilato di comune accordo dai Responsabili aziendali e dagli RLTDP, e successivamente aggiornato quando necessario, un documento operativo contenente:

    • la descrizione della soluzione tecnologica adottata, specificando se essa opera sulla stazione di lavoro dell'utente o su altro dispositivo periferico, o all'ingresso dell'unità centrale di elaborazione, o all'uscita di questa, e comunque in modo che risulti chiaramente il flusso dei dati personali dei dipendenti nei sistemi e i tratti di tale flusso in cui tali dati sono cifrati;
    • la tipologia dei tentativi di accesso non autorizzato al sistema per i quali i sistemi di sicurezza danno all'utente risposta negativa, che danno origine a registrazioni di log non cifrate.

    Tale documento viene sottoposto al Coordinamento per l'eventuale ratifica.
    Qualora non si giungesse a un accordo fra Rappresentanti Aziendali e gli RLTDP, e comunque in caso di mancata ratifica da parte del Coordinamento, l'eventuale accordo su di un testo comune è affidato alla negoziazione fra Azienda e Coordinamento.
    La presenza del documento operativo concordato viene segnalata nelle "informazioni particolari" relative a ciascuna applicazione di cui al precedente punto 3c.

    g. (Continuità della funzione di RLTDP). Il Coordinamento nominerà i tre RLTDP fra le RSU in carica e comunicherà i loro all'azienda. I nomi dei RLTDP devono essere pubblicati sull'Intranet aziendale. In casi di eccezionale urgenza, anche un solo RLTDP può operare; nel caso in cui nessun RLTDP sia disponibile, un membro dell'Esecutivo del Coordinamento può svolgere temporaneamente la funzione di RLTDP. In tutti i casi, gli RLTDP saranno tenuti a verificare successivamente quanto fatto dall'RLTDP che ha operato e a sottoscrivere la presa visione di tutti i documenti prodotti. L'azienda, in funzione delle necessità operative e dei cambiamenti tecnologici, si farà carico dei costi per corsi sulla sicurezza dei dati e dei sistemi aziendali e sul rispetto delle leggi e delle disposizioni sul trattamento dei dati personali che gli RLTDP riterranno necessario di dover seguire. In caso di nomina di un nuovo RLTDP, questi dovrà firmare la presa visione di tutti i documenti in vigore.
    Gli RLTDP sono tenuti a fornire una relazione scritta delle proprie attività al Coordinamento su richiesta dell'Esecutivo; in tale relazione non devono essere citati nomi di dipendenti interessati al trattamento dei dati personali.

    h. (Trattamento dei dati) Nessuno può fare interrogazioni, decifrazioni, statistiche, analisi, tabulati, correlazioni e controlli in genere sui dati riguardanti gli accessi e l'utilizzo dei sistemi da parte dei dipendenti, né chiedere che tali trattamenti vengano effettuati in un Paese estero o da un'altra azienda, né tanto meno trasmettere ad altri tali dati o elaborazioni; tali elaborazioni possono essere compiute solo ed esclusivamente dai Responsabili aziendali a fronte di gravi motivazioni ed esclusivamente sulle applicazioni presenti nella lista di cui al punto 3c, nel rispetto delle procedure contenute nei documenti operativi e su autorizzazione scritta dei RLTDP che devono essere presenti per l'intera durata delle operazioni. Qualora i trattamenti di cui al primo capoverso di 3d vengano effettuati all'estero o da un'altra azienda in violazione delle norme di cui al presente accordo, ogni dipendente di IBM Italia che ne viene a conoscenza è tenuto a informare del fatto i Responsabili Aziendali e i RLTDP.

    i. (Verbali) Al termine delle operazioni di cui al punto precedente, i Responsabili aziendali e i RLTDP dovranno stendere congiuntamente un verbale così composto:

    • Una prima parte costituita da un riassunto generale delle operazioni svolte contenente:
      • le motivazioni dell'indagine;
      • l'elenco dei sistemi acceduti;
      • le operazioni fondamentali compiute su detti sistemi;
      • la data e il luogo in cui l'indagine è stata compiuta;
      • i nomi di tutte le persone presenti durante le operazioni;
      • un codice univoco di identificazione dell'indagine su tutte le pagine;
      • il numero totale di pagine del verbale;

      questa prima parte non deve contenere dati e informazioni che contrastino con l'esigenza di diffusione.

    • Una seconda parte contenente:
      • l'elenco dei record analizzati per ciascuna applicazione, con indicazione dei dati identificativi del dipendente che ha operato su di essi;
      • le firme delle persone presenti su tutte le pagine;
      • lo stesso codice univoco di identificazione dell'indagine della prima parte su tutte le pagine.

    Se vi sono più dipendenti interessati, per ciascuno di essi dovrà essere redatto un verbale distinto.

    Gli unici soggetti legittimati a prendere visione di tutti i verbali nella loro interezza sono i Responsabili aziendali del trattamento dei dati e i RLTDP. Ciascun dipendente è legittimato a prendere visione solo dei verbali riguardanti dati per i quali è interessato secondo la definizione di cui all'art. 4, Parte I, Titolo I del Codice. .
    I verbali vengono custoditi in una cassaforte installata presso i locali di IBM Italia che può essere aperta solo in presenza di almeno un Responsabile aziendale e di un RLTDP. I verbali vengono distrutti dopo dodici mesi dalla loro compilazione.

    j. (Avviso al dipendente) I Responsabili aziendali e i RLTDP sono tenuti ad avvisare per iscritto il dipendente interessato dell'avvenuta procedura di analisi con trasmissione del relativo verbale nella sua interezza.

    k. (Casi particolari)

    • L'azienda mantiene le procedure di cifratura dei codici individuali sui sistemi così come definite nell'Allegato A, adeguandole alle successive versioni dei sistemi interessati. L'Allegato A è un documento operativo del tipo previsto dal punto 3c.
    • Sono assimilate ad applicazioni ad accesso per codice individuale e devono comparire nella lista delle applicazioni che trattano dati personali dei dipendenti:

      • le applicazioni di controllo degli accessi ad aree riservate con identificazione del dipendente entrante di cui all'allegato B; tale allegato è un documento operativo del tipo previsto dal punto 3c; la specificazione delle aree protette fa parte integrante della documentazione di lista;
      • le applicazioni che trattano dati che indicano la posizione geografica dei lavoratori (punto 1a dell'art. 37, Titolo IV, Parte I del Codice);
      • le applicazioni che identificano il dipendente che richiede un servizio di tipo "centralino", "help desk", "call center" e simili;
      • le applicazioni che identificano il dipendente al fine di attribuire correttamente il costo di un servizio; le applicazioni di questo tipo attualmente operative alla data di stipula del presente accordo e definite nella documentazione di lista riguardano:

        - l'addebito a cedolino dei pasti consumati presso la mensa aziendale;
        - la gestione delle spese telefoniche di cui all'allegato C che è un documento operativo del tipo previsto dal punto 3c.

        Ogni altra applicazione finalizzata ad analoga attribuzione dei costi dovrà essere preventivamente concordata, formerà oggetto di integrazione della documentazione di lista e, ove necessario, della stesura concordata di un documento operativo del tipo previsto dal punto 3c.

    • Nel caso la verifica delle attività lavorative avvenga tramite un'indagine rivolta a utenti interni o esterni a IBM Italia e faccia riferimento a quanto svolto da un dipendente specificato o comunque individuabile, detto dipendente deve ricevere copia dei documenti di indagine di suo interesse:

      • sia quelli inviati agli utenti e contemporaneamente al loro invio;
      • sia quelli compilati e ritornati dagli utenti, a stretto giro di posta.

      I documenti di indagine che interessano dipendenti specificati devono essere distrutti entro 6 mesi dalla loro produzione. I RLTDP devono essere preventivamente informato del tipo di indagine IBM Italia intende svolgere e possono verificare le comunicazioni ricevute dai dipendenti interessati e l'effettiva distruzione dei documenti come previsto dal presente accordo.

    l. (Spese) Le spese sostenute dai RLTDP per la partecipazione alle operazioni sopraccitate saranno rimborsate secondo la prassi aziendale vigente; i RLTDP esporranno permessi sindacali retribuiti a carico del Coordinamento per il tempo dedicato a dette operazioni.

  4. Gli accordi aziendali del 23/2/1982, 3/11/1983, 2/10/1985, 23/4/1991 sono abrogati.

  5. I RLTDP potranno controllare, in ogni momento ed in presenza di incaricati della Società, il rispetto delle intese raggiunte con il presente accordo.

  6. Le parti, a dodici mesi a far data dal presente accordo, si incontreranno per una verifica dell'applicazione del medesimo.

Allegato A

(Sistema Z/9000 ex MVS ex OS/390)

Per le applicazioni / transazioni / procedure in ambiente MVS, l'accesso avverrà mediante codice individuale che, in fase gestionale / operativa sarà reso inosservabile all'esterno e all'interno della memoria centrale attraverso l'attribuzione di un numero casuale progressivo ogni volta che si accede al sistema stesso. Il codice individuale e l'indirizzo del terminale verranno, per le operazioni nei log del sistema, crittografati (cifrati) mediante sistema elettronico (attualmente IBM 4753). Tutti i tentativi di accesso non autorizzato al sistema, la tipologia dei quali è riportata in allegato 1 e per i quali i sistemi di sicurezza danno all'utente risposta negativa, non saranno cifrati.
Il sistema di cifratura, attivato congiuntamente dai Responsabili aziendali e dai RLTDP, determina due chiavi, una di cifratura interna al sistema e una di decifratura; quest'ultima chiave è composta da due componenti; una di dette componenti sarà assegnata ai RLTDP e l'altra ai Responsabili aziendali (allegato 3). Le modalità di questa cifratura saranno stabilite a parte contestualmente al presente documento operativo di cui faranno parte integrante (allegato 2).
La creazione di una nuova chiave di cifratura / decifratura dovrà avvenire ogni 6 mesi dalla creazione della precedente chiave. La vecchia chiave dovrà essere mantenuta da ciascuna delle parti per un periodo di 12 mesi.
L'azienda, al fine di verificare lo stato del sistema di cifratura, renderà disponibile ai RLTDP, come da specifiche dell'allegato 2:

  • un "sorgente" ed un "eseguibile" per le exit dei sistemi MVS;
  • un "sorgente" per i sistemi (PS2) utilizzati per la generazione delle chiavi di cifratura / decifratura e per la verifica successiva nei casi di attuazione di decifratura;
  • un accesso ad ogni sistema per mezzo di un terminale in rete.

    Allegato B

    (Accesso a sedi e aree riservate)

    (Stesura da definire con particolare riferimento alle innovazioni introdotte dal sistema Casi Rusco)

    Allegato C

    (Gestione delle spese telefoniche)

    Modalità per la gestione di:

    1. telefonate per servizio;
    2. telefonate per ragioni diverse da quelle di servizio.

    mediante l'utilizzo di apparecchi sia di telefonia fissa gestiti attraverso software Hicom, sia di telefonia mobile.

    TELEFONATE DI SERVIZIO

    Ad ogni dipendente viene assegnato un telefono con linea abilitata secondo le necessità di servizio (interno, locale urbano, interurbano, europeo, intercontinentale).
    La funzione/reparto riceverà periodicamente il consuntivo della spesa e, a richiesta, potrà avere la lista dei costi sostenuti. Tale lista conterrà:

    La registrazione avviene al solo scopo di consentire all'azienda un adeguato controllo dei costi.
    Non verranno evidenziate le chiamate verso numeri collegati a linee affittate (no-cost).
    Ogni singolo dipendente riceverà copia della stessa lista richiesta dalla Funzione/Reparto, con i costi sostenuti per telefonate di servizio da esso stesso originate.
    La società si impegna ad utilizzare i dati di cui sopra, ed oggetto di registrazione, al solo ed esclusivo scopo di procedere agli addebiti di reparto sopra descritti.
    Eventuali registrazioni delle telefonate (per esempio, per la verifica della qualità del servizio) possono essere effettuate solo dopo aver richiesto autorizzazione esplicita della registrazione a tutti gli interlocutori.

    TELEFONATE DIVERSE DA QUELLE DI SERVIZIO

    Il dipendente può utilizzare qualunque telefono collegato al sistema HICOM e/o apparecchio di telefonia mobile assegnato in comodato d'uso gratuito; al dipendente viene assegnato un codice segreto che, unito al suo codice personale, gli consente di accedere alla linea urbana esterna.

    Verranno registrati:

    Il dipendente riceverà mensilmente una comunicazione con dettaglio delle proprie chiamate a mezzo posta elettronica se utente della stessa, oppure a cura del capo diretto se non utente; in tale comunicazione sarà indicata la spesa sostenuta nel mese, la spesa alla data e che verrà, successivamente, addebitata sul cedolino retribuzione.
    La società distruggerà i dati oggetto di questa comunicazione entro 90 giorni.
    Le registrazioni verranno utilizzate al solo fine di consentire l'addebito delle telefonate personali.
    In caso di necessità, il dipendente potrà richiedere l'assegnazione di un nuovo codice segreto.

    Tutte le applicazioni di gestione delle telefonate devono essere presenti nell'inventario di cui al punto 3c.

    Dovrà essere garantita ad ogni dipendente la possibilità di utilizzare un telefono pubblico e a questo scopo, IBM manterrà installati, presso ogni ubicazione, un adeguato numero di telefoni pubblici, se possibile, a scheda.